本文总结了「行业层面」出台的各项数据安全评估标准,旨在为大家提供一份全面、系统的参考资料,便于大家更好地了解和应用相关数据安全评估标准。
JR/T XXXX-XXXX
《金融数据安全数据安全评估规范》
本标准规定了金融数据安全评估触发条件、原则、参与方、内容、流程及方法,明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。
本标准适用于金融业机构开展金融数据安全评估使用,并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。
1、评估概述
金融数据安全评估指金融业机构对其数据处理活动定期或按需开展的风险评估活动,评价金融业机构自身和数据处理活动第三方合作机构的数据安全保护能力,为金融业机构建立数据安全保护体系、明确数据安全保护策略和加强第三方合作机构数据安全管理提供参考性资料。
2、评估内容
依据JR/T 0197-2020《金融数据安全 数据安全分级指南》、JR/T 0223-2021《金融数据安全 数据生命周期安全规范》两个行业规范作为金融数据安全评估的主要内容,包括数据安全管理(S1)、数据安全保护(S2)、及数据安全运维(S3)三方面内容。
★金融数据安全管理评估(S1) :明确了金融业机构数据安全管理相关组织架构建设S1-1及制度体系建设S1-2 ( 总体规划、技术股管理、人员管理、合作管理、流程管理)相关安全评估的具体内容、评估方法和结果判定依据。
★金融数据安全保护评估(S2):明确了金融业机构金融数据资产管理S2-1、数据生命周期安全保护S2-2 ( 数据采集、数据传输、数据存储、数据使用、数据删除、数据销毁)相关安全评估的具体内容、评估方法和结果判定依据。
★金融数据安全运维评估(S3):明确了金融业机构边界管控、访问控制、安全审计、安全检查、安全监测、应急响应与事件处置相关安全评估的具体内容、评估方法和结果判定依据。
3、评估流程
金融数据安全评估流程分为评估准备、评估实施、安全分析、报告编制和结果评审五个步骤:
第一步:评估准备
在进行金融数据安全评估前,首先需明确评估目标;根据评估目标组建评估团队,评估团队由本机构本次金融数据安全评估的最高负责人、评估参与方以及实施团队等共同组成。明确评估范围,确定本次评估所涉及的金融数据、金融产品和服务、信息系统、人员及组织(含内、外部)等。最后根据本次评估目标和范围等情况编制并确定本次金融数据安全评估工作的评估方案,明确本次评估工作的主要任务、任务分工、人员安排、时间计划等内容。
第二步:评估实施
评估团队牵头部门的组织和其他参与方的共同配合下,金融数据安全评估的实施团队根据已确定的评估方案开展本次评估的实施工作,留存评估实施过程相关记录材料并形成各部分评估结果。
第三步:安全分析
根据本次金融数据安全评估的评估结果,实施团队对本机构当前数据安全现状、所面临的各类数据安全问题严重程度及主要安全风险情况等进行分析,并提出相应改进建议。
第四步:报告编制
根据评估结果及安全分析结论编制评估报告,对评估内容、过程、结果、问题等进行总结和分析,并给出总体评估结论。
第五步:结果评审
评审团队根据本次金融数据安全评估最终形成的评估报告及总体评估结论,同时审核确定各评估事项及参与人员行为等公平公正、真实有效及合法合规。
4、评估方法
金融数据安全评估采用的评估方法与风险评估类似,采用问卷调查、人员访谈、文档查验、配置核查、工具测试和旁站验证6种评估手段。
5、评估结果判定
对数据安全评估结果确定过程中的数据安全问题等级、评估判定原则及评估结果判定等问题进行了详细说明,最终结果判定表如下所示:
其中,n为总体评估项数,为单项评估得分,符合为1分,基本符合为0.5分,不符合为0分。为数据安全管理评估得分,t为数据安全管理评估项数。为数据安全保护评估得分,m为数据安全保护评估项数。为数据安全运维评估得分,o为数据安全运维评估项数。
YD/T 3801-2020
《电信网和互联网数据安全风险评估实施方法》
本标准提供以数据为核心保护对象的面向应用场景的风险评估方法论,规定了电信网和互联网数据安全风险评估的基本原则、基本要素及各要素之间的关系、实施流程、风险分析模型与方法。
本标准适用于电信网和互联网组织开展数据安全风险自评估工作,同时适用于第三方专业测评机构开展数据安全风险评估工作。
1、数据安全风险评估原则
2、风险评估各要素之间的关系
上图中的风险要素及属性之间存在着以下关系:
1)业务战略的实现对数据资产具有依赖性,依赖程度越高,要求其风险越小;
2)数据资产重要程度不同,数据资产重要程度级别越高,面临的威胁就可能越大;
3)数据资产流转于业务各应用场景,在实际应用场景中可能产生安全风险;
4)脆弱性可能暴露于应用场景中数据在各主体及主体间的活动中,应用场景中存在脆弱性越多则数据安全风险越大;脆弱性包括未被满足的安全需求,数据威胁利用脆弱性危害数据资产;
5)数据安全风险是由数据威胁引发的,数据资产面临的数据威胁越多则安全风险可能越大,并可能演变成为安全事件;
6)安全措施可削弱脆弱性,降低风险;
7)安全措施可抵御数据威胁,降低风险;
8)安全需求可通过安全措施得以满足,需要结合数据资产重要程度考虑实施成本;
9)风险的存在及对风险的认识导出安全需求;
10)残余凤险有些是风险控制不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险;
11)残余风险应受到密切监视,它可能会在将来诱发安全事件。
3、数据安全风险评估原理
数据安全风险评估的原理如上图所示,数据安全风险评估包括数据资产、数据应用场景、数据威胁、脆弱性、安全措施五个基本要素。
每个要素有各自的属性,数据资产的属性是数据重要程度;数据威胁的属性数据应用场景中数据威胁发生可能性;脆弱性的属性是数据应用场景中脆弱性可利用性和脆弱性影响程度;安全措施的属性是和脆弱性的关联性。数据安全风险评估的主要内容为:
1、风险识别阶段:
1)识别数据资产并分析其重要程度;
2)对数据应用场景进行识别;
3)识别数据应用场景中数据威胁,并判断数据威胁发生可能性;
4)识别数据应用场景中脆弱性,与具体安全措施关联分析后,判断脆弱性可利用程度和脆弱性对数据资产影响的严重程度。
2、风险分析阶段:
1)根据数据威胁与脆弱性利用关系,结合数据威胁发生可能性与脆弱性可利用性判断安全事件发生的可能性;
2)根据脆弱性影响严重程度及数据重要程度计算安全事件影响严重程度;
3)根据安全事件发生的可能性以及安全事件影响严重程度,判断风险值。
3、风险评价阶段:
根据风险接受准则判定风险是否可以接受。
4、数据安全风险评估流程
YD/T 4241-2023
《电信网和互联网数据安全评估技术实施指南》
本文件提供以公用电信网和互联网网络单元以及业务系统中的数据为核心保护对象的、面向各种应用场景的数据安全评估方法参考。
本文件既可用于指导电信网和互联网企业数据安全评估中的风险评估、现有安全措施评估,也可单独用于指导监管部门、评估机构等组织开展数据安全评估工作。
1、数据安全评估技术实施流程
2、数据安全评估技术实施方法
YD/T 3956-2021
《电信网和互联网数据安全评估规范》
《电信网和互联网数据安全评估规范》则给出了数据安全评估、实施流程和数据安全相关管理及技术措施的评估要点。
1、什么情况下需要开展数据安全评估?
1)业务运营阶段,在数据承载环境发生较大变化时开展评估。
①数据采集渠道变更②数据存储系统升级改造③数据处理技术变更
2)在开展数据重要操作前,对涉及到的数据相关管理措施、技术措施开展评估。
①开放数据对外接口②数据共享③数据转移④数据加工⑤数据出境...
3)行业主管部门要求企业进行数据安全评估的。
4)满足国家法律法规有关情形时,应开展数据安全评估。
2、企业在开展数据安全评估前需要做什么?
企业需要先行开展数据分类分级管理。
企业需要先对企业内部的所有数据资源开展全面梳理和收集,形成数据资源列表,然后根据企业业务运营和企业自身管理特点确定每个数据项的数据类型、根据重要程度和敏感程度确定数据资源的安全等级,并进行数据分类分级标识,输出企业的数据分类分级清单,最后根据数据资源的分类分级情况,在数据生命周期的各个环节配套差异化的安全保护措施。
3、数据安全评估工作如何进展?
评估主要分为三个阶段,主要流程如下:
4、数据安全评估包括哪些内容?
5、数据安全评估结束后评估委托方会收到什么?
会收到由数据安全评估机构出具的数据安全评估报告。
报告主要由企业数据安全概述、数据安全评估流程、数据安全评估矩阵、问题分析、整改建议、整改落实情况、复核结果及签字等7个部分组成。其中数据安全评估矩阵是评估报告的主要模块,将根据评估规范梳理总结出合规性评测矩阵表,针对每一项评估指标综合运用多种评估方法收集佐证材料,并对佐证材料进行研判评估,得出有关结论。
评估报告模板如下:
相关推荐:
